Para melhor implementar a Lei da Protecção de Informações Pessoais da República Popular da China (adiante designada por LPIP), a Lei da Cibersegurança da República Popular da China e a Lei da Segurança de Dados da República Popular da China, a Cyberspace Administration of China definiu os “Métodos de avaliação da segurança da transferência de dados para o exterior do País” (adiante designados por “Métodos de avaliação”), que entraram em vigor oficialmente em 1 de Setembro de 2022, e publicou recentemente o “Guia de declaração para a avaliação da segurança da transferência de dados para o exterior do País (1.ª edição)” (doravante designado por “Guia de declaração”), com vista a suplementar a execução concreta e os detalhes da operação dos “Métodos de avaliação”. O “Guia de declaração”, para além de esclarecer as exigências concretas relativas aos meios de declaração, processo de declaração e elementos da declaração, apresentou também os modelos relativos aos elementos da declaração da avaliação da segurança da transferência de dados para o exterior do País, à procuração para o agente que trata o assunto, à declaração de avaliação da segurança da transferência de dados para o exterior do País, ao relatório de auto-avaliação de riscos da transferência de dados para o exterior do País.
O Gabinete para a Protecção de Dados Pessoais (adiante designado por GPDP) apela às empresas de Macau para conhecerem as respectivas exigências para assegurar o tratamento transfronteiriço de dados pessoais nos termos da lei. Com o intuito de dar a conhecer a todos os sectores de Macau as respectivas disposições dos “Métodos de avaliação”, o GPDP planeia desenvolver os respectivos trabalhos de esclarecimento sobre a conformidade das disposições, agora, organiza, em primeiro lugar, os seguintes pontos essenciais para servir de referência ao público:
-- As actividades de transferência de dados para o exterior do País incluem:
1. Os processadores de dados transferem e armazenam para o exterior do País os dados recolhidos e produzidos nas operações realizadas no interior do País;
2. Os dados recolhidos e produzidos pelos processadores de dados ficam armazenados no interior do País, as instituições, organizações ou os indivíduos do exterior do País podem aceder ou utilizar esses dados.
-- O âmbito de aplicação abrange qualquer uma das seguintes situações:
1. Fornecimento de dados importantes para o exterior do País;
2. Os operadores da infra-estrutura de informações críticas e os processadores de dados, que tratam informações pessoais de mais de um milhão de pessoas, fornecem informações pessoais ao exterior do País;
3. Os processadores de dados, que fornecem cumulativamente informações pessoais de cem mil de pessoas ou informações pessoais sensíveis de dez mil de pessoas ao exterior do País a partir de 1 de Janeiro de 2020, fornecem informações pessoais ao exterior do País;
4. Outras situações definidas pela Cyberspace Administration of China também se aplicam à avaliação da segurança da transferência de dados para o exterior do País.
-- Definição de dados importantes: Dados que podem pôr em perigo a segurança do Estado, o funcionamento económico, a estabilidade social, a saúde e a segurança públicas em caso de ser adulterados, destruídos, divulgados ou obtidos ilegalmente, aproveitados ilegalmente, etc.
Para além dos pontos importantes acima referidos, algumas definições jurídicas diferem das utilizadas habitualmente em Macau, por exemplo, a definição de dados sensíveis (chamados no Interior da China de “informações sensíveis”); os processadores de dados também devem assegurar que o processo de transferência de informações pessoais para o exterior do País esteja em conformidade com as exigências da LPIP e das respectivas diplomas.
Os “Métodos de avaliação” estabeleceram um período de transição com a duração de seis meses (até 1 de Março de 2023), para que os processadores de dados pudessem ajustar as actividades de transferência de dados para o exterior do País iniciadas antes de 1 de Setembro de 2022, a fim de que o respectivo tratamento esteja em conformidade com as disposições dos “Métodos de avaliação”. Caso as empresas e as instituições de Macau acedam ou utilizem os dados dos sistemas de equipamentos informáticos instalados no Interior da China e o respectivo tratamento de dados se aplique às situações definidas pelos “Métodos de avaliação”, devem proceder, o mais rápido possível, a uma avaliação sobre o impacto causado pelas respectivas disposições nas actividades de transferência de dados para o exterior do País, bem como proceder a uma apreciação para satisfazer as respectivas exigências de fiscalização e obrigações legais, a fim de evitar a transferência ilegal dos dados para o exterior do País. Para mais conteúdos detalhados sobre os “Métodos de avaliação”, é favor visitar a “Página dedicada a ajudar as PME e outras instituições a procederem bem aos trabalhos de conformidade da Lei da Protecção de Informações Pessoais da República Popular da China” (https://www.gpdp.gov.mo/featuredsites/notification/main.html) do website do GPDP.
Ver galeria